USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Transkrypt

1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r.

2 STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting w obszarze Informacji 3 Metodyka Bezpieczeństwa 4 Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji 4 Audyt zarządzania bezpieczeństwem informacji 5 Audyt bezpieczeństwa systemów informatycznych 5 Audyt zgodności z ustawą o ochronie danych osobowych 6 Audyt planów ciągłości działania 6 Audyt bezpieczeństwa aplikacji 7 Testy penetracyjne 8 Audyt licencji oprogramowania 8 Warsztaty i szkolenia Usprawniamy Twój Business, wykonując prace na których znamy się najlepiej. O NAS Na rynku informatycznym działamy od 1998 roku. Firma Point specjalizuje się w sprzedaży zintegrowanych rozwiązań do bezpieczeństwa sieci komputerowych oraz w świadczeniu usług, polegających na instalacji, konfiguracji oraz szkoleniu administratorów sieci komputerowych. Celem firmy POINT jest jej stały rozwój oraz zaspokajanie potrzeb klientów poprzez sprzedaż rozwiązań do bezpieczeństwa sieci komputerowych. Aby sprostać temu zadaniu firma korzysta z nowoczesnych i sprawdzonych technologii informatycznych. Personel firmy Point to wykwalifikowany zespół specjalistów z dziedziny bezpieczeństwa systemów komputerowych. Wiedza i doświadczenie pracowników pozwalają na świadczenie usług na najwyższym poziomie. Inżynierowie POINT cały czas podnoszą swoje kwalifikacje zawodowe uczestnicząc w szkoleniach zarówno w Polsce jak i za granicą. Dzięki takiej polityce, firma ma wysoką pozycję na rynku usług informatycznych. Od prezesa Oferowane przez nas rozwiązania dostosowane są do wielkości i specyfiki potrzeb naszych Klientów. Produkty i usługi, które oferujemy pozwalają na pełną obsługę dla wszystkich firm i instytucji niezależnie od wielkości i złożoności infrastruktury. Na naszej liście referencyjnej Klientów można znaleźć już kilka tysięcy firm łącznie z tymi największymi, posiadającymi powyżej tysiąca komputerów. Jesteśmy pewni, że dzięki wykwalifikowanej kadrze pracowniczej, zdobytemu doświadczeniu i ciągłemu rozwojowi, firma POINT jest w stanie sprostać każdemu zadaniu związanemu z bezpieczeństwem. Relacje z klientami opieramy na zasadzie partnerstwa. Chcemy, aby projekty przez nas realizowane aktywnie wspierały wszechstronny rozwój naszych klientów, wychodząc z założenia, że sukces klienta jest naszym sukcesem.

3 STRONA 2 POINT Nowa Generacja Bezpieczeństwa Kadra i Kwalifikacje Zespół do spraw audytu i bezpieczeństwa informacji to kilkuosobowa grupa ekspertów o bardzo szerokiej specjalizacji, która jest w stanie zapewnić kompleksową obsługę audytorską oraz pełną ochronę danych sieci teleinformatycznej Klienta. Oferujemy spójne, kompleksowe i sprawdzone rozwiązania. Wypróbuj nasze Usługi, to nic nie kosztuje. Dodatkowo na naszą korzyść przemawia: znajomość specyfiki Klientów z różnych obszarów działalności gospodarczej; poparte referencjami doświadczenie w tworzeniu i wdrażaniu rozwiązań związanych z bezpieczeństwem systemów informatycznych dla instytucji z sektorów mundurowego, bankowego, finansowego i przemysłowego; doświadczenie w szeroko rozumianych pracach nad bezpieczeństwem u wielu Klientów, w zróżnicowanych i złożonych systemach; przeszkolony zespół specjalistów na najwyższym poziomie; dostęp do informacji o pojawiających się zagrożeniach; metodyka zgodna z przepisami polskiego prawa oraz obowiązującymi normami; zdolność do obsługi Klientów w rozumieniu Ustawy o Ochronie Informacji Niejawnej.

4 STRONA 3 Audyty i konsulting w obszarze Bezpieczeństwa Informacji Audyt bezpieczeństwa realizowany przez naszą firmę jest procesem, którego zadaniem jest określenie aktualnego stanu zabezpieczeń w wybranym obszarze funkcjonowania organizacji zgodnie z określoną polityką bezpieczeństwa lub zgodnie z obowiązującym stanem wiedzy w danym zakresie. Nasza oferta obejmuje: Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z normą PN-ISO/IEC 27001; Audyt zarządzania bezpieczeństwem informacji; Audyt bezpieczeństwa systemów informatycznych; Audyt zgodności z ustawą o ochronie danych osobowych; Audyt planów ciągłości działania; Audyt bezpieczeństwa aplikacji; Testy penetracyjne; Audyt legalności oprogramowania; Warsztaty i szkolenia. Wykonanie audytu systemu informatycznego, czy też systemu informacyjnego, daje bardzo konkretną wiedzę o stanie systemu. Rezultaty analizy mogą przynieść korzyści dotyczące wielu obszarów: identyfikacja i eliminacja usterek; wprowadzenie usprawnień; wsparcie dalszego rozwoju; oszczędności. Metodyka Metodyka prowadzonych prac audytorskich oparta jest na zaleceniach zawartych w COBIT (Control Objectives for Information and Related Technology). W trakcie prac oraz przy tworzeniu rekomendacji i zaleceń odwołujemy się do norm: ISO/IEC 27000:2005; ISO/IEC 20000:2011 ISO 22301:2012 PN-ISO/IEC 17799:2007. Ponadto, w miarę potrzeb, wykorzystujemy inne normy, uszczegóławiające zagadnienia wskazane w normach wymienionych powyżej, w tym: IT Grundschutzhandbuch Rekomendacje serii NIST SP 800 ISO/IEC 18044:2004 Tak dobrana metodyka zakłada: rozpoznanie i identyfikację procesów; zapoznanie się z procesami; ocenę mechanizmów kontrolnych; ocenę zgodności; udowadnianie ryzyka; określenie sposobu osiągnięcia celów; zgodność z międzynarodową normą.

5 STRONA 4 Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (PN-ISO/IEC 27001) Efektem wdrożenia SZBI jest zdefiniowanie adekwatnych zabezpieczeń w odniesieniu do specyfiki działalności gospodarczej oraz otoczenia rynkowego. Szczególny nacisk kładziony jest na zarządzanie ryzykiem. Budując system, wykorzystujemy metodykę i dokumenty źródłowe; od standardów korporacyjnych, poprzez normy krajowe, na normach międzynarodowych kończąc. Najbardziej atrakcyjną możliwością jest wdrażanie SZBI, zgodnego ze standardem międzynarodowym, czyli tworząc system korzystamy ze sprawdzonych i wiarygodnych wskazówek. Takim standardem jest norma PN-ISO/IEC Norma ta dotyczy ochrony wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów. Audyt zarządzania bezpieczeństwem informacji Celem audytu jest sprawdzenie funkcjonowania i aktualności Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), często także w celu potwierdzenia gotowości badanej organizacji do odpowiedniej certyfikacji. Audyt taki, przeprowadzany cyklicznie, jest częścią procesu kontroli jakości. Kontrolowany SZBI może być oparty na normach międzynarodowych, np. ISO 27001, ale także na innych wytycznych.

6 STRONA 5 Pełny audyt bezpieczeństwa systemów informatycznych Audyty bezpieczeństwa systemów informatycznych Celem audytu jest sprawdzenie stanu bezpieczeństwa danych przechowywanych oraz przetwarzanych w systemie informatycznym organizacji, odkrycie rzeczywistych i potencjalnych nieprawidłowości w stosunkowo krótkim czasie oraz podniesienie poziomu bezpieczeństwa poprzez psychologiczne oddziaływanie na pracowników badanej organizacji. W trakcie prac następuje identyfikacja podatności na zagrożenia, ocena ryzyka związanego z daną podatnością oraz wskazanie działań korygujących. Pełny audyt bezpieczeństwa systemów informatycznych to: analiza zgodności systemu informatycznego z polityką bezpieczeństwa i dotyczącymi regulacjami; testy penetracyjne; testy vulnerability assessment (VA) kluczowych systemów informatycznych; testy z wykorzystaniem technik social engineering ; analiza zabezpieczeń fizycznych; analiza bezpieczeństwa aplikacji. Każda z wymienionych części może być realizowana jako odrębna usługa, mająca na celu kontrolę wybranego systemu czy też procesu. Audyt zgodności z ustawą o ochronie danych osobowych Celem audytu jest weryfikacja spełnienia przez badaną organizację wymagań prawnych, związanych z przetwarzaniem danych osobowych. Prace obejmują: audyt zgodności z wymaganiami prawnymi w zakresie ochrony danych osobowych; weryfikację i ocenę mechanizmów zapewniających ochronę danych osobowych; opracowanie lub modyfikację dokumentacji związanej z przetwarzaniem danych osobowych pod kątem zapewnienia zgodności z wymaganiami prawnymi; szkolenia w zakresie zabezpieczenia danych osobowych przetwarzanych przez badaną organizację.

7 STRONA 6 Audyt planów ciągłości działania Celem audytu jest kontrola rozwiązań organizacyjnych oraz technicznych, jakie zostały opracowane i wdrożone przez badaną organizację, aby zapewnić wysoki poziom dostępności i niezawodności systemów lub umożliwić odtworzenie działalności po awarii. Prace (w oparciu o ISO 22301:2012) mogą obejmować całą firmę, wybrane jednostki organizacyjne, czy wskazane procesy biznesowe. Częścią audytu są testy disaster recovery systemów informatycznych. Nasze Doświadczenie Twoje Bezpieczne IT Audyt bezpieczeństwa aplikacji Celem audytu jest ocena poziomu bezpieczeństwa badanej aplikacji z punktu widzenia użytkowników/administratorów o różnym poziomie uprawnień oraz potencjalnego intruza, który próbuje przełamać zastosowane zabezpieczenia. Usługa jest jedną z metod prewencyjnych, pozwalających wykryć podatność aplikacji na możliwość potencjalnych ataków oraz zapewnić bezpieczną ciągłość działania biznesu. Wykorzystywane procedury i badania dotyczą najbardziej podatnych na ataki składników aplikacji i m. in. obejmują: analizę architektury środowiska aplikacji; procedury komunikacji z użytkownikami; architekturę i mechanizmy komunikacji aplikacji; metody uwierzytelniania; metody zarządzania sesją; próbę przejęcia kontroli nad kontami użytkowników; próbę wykonywania nieautoryzowanych operacji bezpośrednio na bazie danych; próbę pozyskania nienależnych uprawnień; próbę zablokowania serwisu; wykorzystanie luk w interfejsie użytkownika; manipulację danymi wejściowymi i wyjściowymi; symulacje błędów administratora aplikacji.

8 STRONA 7 Testy penetracyjne Celem testów jest ocena zabezpieczenia infrastruktury informatycznej przed próbami pozyskania nieuprawnionego dostępu ze strony Internetu (testy zewnętrzne), ze strony sieci wewnętrznej (testy wewnętrzne) oraz przed celowym spowodowaniem utraty dostępności infrastruktury informatycznej. Prace obejmują: analizę dostępnych usług oraz identyfikację podatności pozwalających na naruszenie bezpieczeństwa informacji, test przeprowadzany bez dodatkowych informacji na temat specyfiki usług (informacje ograniczają się do wskazania adresów IP testy Black box ); próbę wykorzystania zidentyfikowanych podatności w celu pozyskania nieuprawnionego dostępu do systemu (wprowadzenie do systemu pliku o uzgodnionej treści lub pozyskanie z systemu uzgodnionych informacji) lub zablokowania działania systemu (atak denial-of-service) ; pozyskanie dodatkowych informacji na temat eksploatowanych usług zaimplementowanych na badanych komponentach (wywiady oraz dokumentacja); opcjonalnie, analiza konfiguracji wybranych elementów aktywnych na styku sieci wewnętrznej z Internetem; poszerzoną analizę usług w oparciu o pozyskane dodatkowe informacje (testy White box ) oraz próbę wykorzystania zidentyfikowanych podatności. Stawiamy Na Bezpieczeństwo Sprawdź NAS

9 STRONA 8 Audyt licencji oprogramowania Celem audytu jest weryfikacja procesu zaopatrzenia, dystrybucji i wykorzystania licencji w badanej organizacji. Wynikiem prac jest: inwentaryzacja aplikacji i licencji zainstalowanych na komputerach, serwerach oraz innych urządzeniach, np. routerach, firewallach, telefonach komórkowych; inwentaryzacja dokumentów licencyjnych; protokół rozbieżności pomiędzy stanem faktycznym, a dokumentacją; legalność (ważność) licencji; status prawny posiadanych aplikacji; propozycja optymalizacji wykorzystania licencji; plan aktualizacji aplikacji i licencji. Warsztaty i szkolenia Point sp. z o.o. dostarcza swoim Klientom wiedzę na temat potencjalnych zagrożeń oraz nowych technologii w zakresie bezpieczeństwa teleinformatycznego poprzez organizowanie dedykowanych warsztatów i szkoleń. Spotkania są przygotowywane i realizowane we współpracy z naszymi partnerami - znanymi producentami, zajmującymi się problematyką bezpieczeństwa. Prowadzimy także dedykowane szkolenia na temat bezpieczeństwa informacji, przetwarzania i ochrony danych osobowych oraz innych obszarów wskazanych przez naszych Klientów. Tel./Fax pointas@pointas.com.pl